Actualités

25.05.2022 - Complément au communiqué du 24.05.2022 concernant «mesvaccins.ch»

Suite à de nombreuses demandes, et en complément à son communiqué de presse du 24 mai 2022, le PFPDT précise que l'Office des faillites de Berne-Mittelland ne procédera pas à la suppression des données de vaccination, recommandée par le Préposé, avant la clôture définitive de la procédure de faillite et sans instruction écrite du Préposé en ce sens.

Communiqué de presse du 24.05.2022

Envoi de données de vaccination par la fondation « mesvaccins »

08.11.2021 - La fondation « mesvaccins » a commencé à envoyer aux utilisateurs de la plateforme leurs données de vaccination en tant que pièce jointe à un e-mail non crypté le vendredi 04.11.2021.

Après avoir terminé la procédure d’établissement des faits concernant « mesvaccins.ch », le PFPDT a conseillé l'OFSP lors de plusieurs rencontres dans le cadre d’un projet de récupération des données et a résumé en détail par écrit les exigences de protection des données pour l'envoi des données de vaccination aux utilisateurs.

Le procédé actuellement mis en œuvre par la fondation est en contradiction avec les exigences demandées par le PFPDT dans son rapport final du 31.08.2021 et vis-à-vis de l'OFSP. L'envoi non crypté de données de santé par e-mail sans procédure d'authentification à plusieurs facteurs n'est pas conforme à la protection des données. La formulation de la lettre d'accompagnement de la Fondation (identique au texte qui a été publié sur le site internet de la fondation le 05.11.2021) donne la fausse impression que la procédure mentionnée a été convenue avec le PFPDT. Ce n'est pas le cas. 

Publication du rapport final du PFPDT dans le cadre de la procédure d’établissement des faits concernant mesvaccins.ch

07.09.2021 - Fin juillet 2021, le PFPDT a remis à la fondation meineimpfungen son rapport final dans le cadre de la procédure d’établissement des faits concernant la plateforme mesvaccins.ch (meineimpfungen.ch). Le PFPDT y a formulé trois recommandations portant notamment sur l'intégrité des données et le sort des données en cas d'arrêt de la plateforme. La fondation a accepté les recommandations dans le délai de 30 jours. Le rapport final est publié aujourd'hui. 

Après l'achèvement de la procédure d’établissement des faits, la fondation a annoncé qu'elle cesserait ses activités opérationnelles et demanderait sa liquidation. La fondation ne traite plus les demandes d'information et de suppression. 

Le PFPDT soutient la fondation et l'Office fédéral de la santé publique (OFSP) dans la recherche d'une solution rapide et pragmatique dans l'intérêt des utilisateurs et utilisatrices concernés et dans le cadre de ses compétences. 

23.03.2021 Communiqué de presse: Carnet de vaccination électronique: ouverture d’une procédure contre la fondation « mesvaccins »

Prise de position du PFPDT sur la transmission de données personnelles à la Securities and Exchange Commission des États-Unis (SEC)

04.08.2021 - Le PFPDT a fait la prise de position suivante à l'intention de la Securities and Exchange Commission (SEC) des États-Unis sur la question de l'admissibilité de la transmission de données personnelles des gestionnaires de fortune suisses à l'autorité de surveillance américaine : 

Arrêt de la Cour de justice de l’Union européenne (CJUE) sur les clauses contractuelles types européennes et le bouclier de protection des données entre l'UE et les États-Unis (EU-US Privacy Shield)

16.07.2020 - Dans son arrêt du 16 juillet 2020 dans l'affaire C-311/18 Commissaire à la protection des données contre Facebook Ireland Ltd et Maximilian Schrems, la Cour de justice a invalidé la décision 2016/1250 sur le caractère adéquat de la protection assurée par le bouclier de protection des données entre l'UE et les États-Unis. En revanche, la décision 2010/87 de la Commission européenne relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers reste valide.

Le PFPDT a pris connaissance de l'arrêt de la CJUE. Cet arrêt n'est pas directement applicable à la Suisse. Le PFPDT va examiner le jugement en détail et le commentera en temps utile.

Lien au communiqué de presse de la CJUE

Communiqué du PFPDT du 08.09.2020: Le PFPDT estime que le bouclier de protection des données Suisse – États-Unis n’offre pas un niveau de protection des données adéquat 

Quelles sont les conséquences du Brexit dans le domaine des flux transfrontières de données ?

31.01.2020 - Après le référendum sur la sortie du Royaume-Uni de l’Union européenne (Brexit), qui s’est tenu en juin 2016, le gouvernement britannique a annoncé sa décision de quitter l’UE. Le retrait a lieu le 31 janvier dernier.

Transmission de données personnelles à l’étranger selon la loi sur la protection des données (LPD) en vigueur
La transmission de données à l’étranger est régie par l’art. 6 LPD. Cet article prévoit que des données ne peuvent être communiquées à l’etranger qu’à la condition que le pays de destination connaisse un niveau de protection des données adéquat (art. 6, al. 1, LPD) ou alors, en l’absence d’une telle réglementation, qu’il connaisse des dispositions ou des garanties suffisantes (art. 6, al. 2, let. a et g, LPD). En vertu de l’art. 31, al. 1, let. d, LPD, le préposé à la protection des données (préposé) peut déterminer si le niveau de protection dans un pays donné est adéquat et permet la transmission de toutes les données, ce qui est le cas en particulier lorsque le destinataire des données est soumis à une loi qui offre un niveau de protection comparable à celle du droit suisse (garantie des droits de la personne concernée, respect des principes fondamentaux, autorité de surveillance indépendante). Une liste des pays qui répondent à ces exigences est publiée sur le site du préposé. Cette liste est régulièrement mise à jour.

Royaume-Uni et Gibraltar
Le Royaume-Uni et Gibraltar font actuellement partie des États dont la législation assure un niveau de protection adéquat et le préposé ne dispose pas d’indices qui pourraient laisser prévoir un changement de statut. En prévision du Brexit, l’autorité britannique de protection des données personnelles (Information Commissioner’s Office, ICO) a indiqué sur son site qu’après le 1er février 2020, le Royaume-Uni continuerait d’offrir un degré élevé de protection des données personnelles.

Si le préposé devait contre toute attente envisager de modifier sa liste quant au statut du Royaume-Uni et de Gibraltar, il informerait les entreprises en temps voulu de manière à ce qu’elles puissent se préparer en concluant des accords types.

L’UE décidera d’ici la fin de l’année si elle reconnaît l’adéquation de la législation sur la protection des données du Royaume-Uni. Le préposé suit l’évolution de la situation avec attention.

Informations supplémentaires :

PFPDT, Transmission à l’étranger

DFAE, Direction des affaires européennes : FAQ Brexit

ICO, Statement on data proteciton and Brexit implementation

ICO, Protection des données et Brexit

Commission européenne, UKTF, La task-force pour les relations avec le Royaume-Uni

Règlement général de l'UE sur la protection des données: les conséquences pour la Suisse

14.12.2017 - Le nouveau Règlement européen sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018 dans toute l’Union européenne (UE). À partir de cette date, le RGPD sera directement applicable à tous les acteurs actifs sur le territoire de l’Union européenne. Les nouvelles règles consistent à donner aux citoyens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises tout en réduisant leurs charges déclaratives et à renforcer le rôle des autorités de protection des données. Ce texte aura des répercussions directes sur un grand nombre d’entreprises suisses.

Guide relatif au Swiss-US Privacy Shield

24.08.2017 - Le PFPDT a élaboré une brochure pratique au sujet du Swiss-US Privacy Shield. Elle informe de manière simple et compréhensible sur les obligations des entreprises certifiées, les droits des personnes concernées et comment ces dernières peuvent déposer une réclamation.

Swiss-US Privacy Shield Guide (PDF, 180 kB, 06.12.2017)

Transmission des données aux États-Unis

Le PFPDT recommande l’utilisation du certificat Covid light

08.09.2021 - Le PFPDT a accompagné le développement du certificat Covid en s’assurant que ce certificat soit conçu dans le respect de la protection des données. Le PFPDT salue le fait que le certificat Covid constitue désormais le seul moyen de preuve de la vaccination, de la guérison ou du résultat négatif, se substituant à tous les autres.

Ce certificat a été complété par une version « light » ne contenant plus aucune donnée de santé. Eu égard à l’extension temporaire du certificat obligatoire aux personnes de plus de 16 ans que le Conseil fédéral a décidée le 8 septembre, le PFPDT recommande l’utilisation de cette version light.

L’extension du certificat aux espaces clos (tels que les restaurants, les bars ou encore les installations de loisirs comme les musées, les bibliothèques, les zoos, les centres de fitness, les piscines couvertes ou les casinos) doit être jugée proportionnée sur le plan de la protection des données si elle constitue du point de vue épidémiologique une mesure nécessaire et appropriée pour combattre la pandémie. La démonstration en incombe à l’office compétent, dont les constatations et évaluations guident le PFPDT.

En ce qui concerne l’extension du certificat au lieu de travail, le PFPDT relève que l’employeur peut exiger la présentation d’un certificat dans le cadre de son devoir de diligence, par exemple en vue de prendre des mesures de protection ou de mettre en œuvre un programme de tests. Le PFPDT considère comme positif que la possibilité de se limiter à un certificat light soit explicitement mentionnée. Du point de vue de la protection des données, ce certificat est toujours à privilégier lorsqu’il est indifférent que la personne ait été testée négative, vaccinée ou qu’elle soit guérie.

Communiqué de l'OFSP

Communiqué du PFPDT du 19.07.2021

Le PFPDT recommande d’utiliser le certificat light pour lutter contre le COVID lors de manifestations en Suisse

19.07.2021 - Le certificat light peut facilement être généré à partir de la dernière version de l’application COVID Certificate. Il respecte la protection des données et ne contient pas de données relatives à la santé. Le PFPDT recommande de l’utiliser dans le cadre de manifestations en Suisse.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) surveille les travaux en lien avec le certificat COVID destiné aux voyages à l’étranger. Dans ce contexte, il a demandé à la Confédération de proposer, en sus du certificat COVID, un certificat light contenant moins de données. Ce certificat light peut être généré facilement à partir de la dernière version de l’application COVID Certificate :

Site de l'OFSP : Certificat COVID (admin.ch) 

Le PFPDT recommande à la population d’utiliser ce certificat respectueux de la protection des données en Suisse, dans la mesure où il contient moins de données (notamment lors de grandes manifestations).

Si vous activez le certificat light dans l’application du certificat normal, vous générerez un nouveau code QR ne contenant pas de données sur la santé. Le certificat light ne contient que les informations nécessaires à votre identification, ainsi qu’une signature électronique. Dès lors, aucune donnée relative à votre santé, comme p.ex. le vaccin utilisé, ne s’affichera lorsque vous vous ferez contrôler à l’entrée d’une manifestation. Un tel risque n’est en revanche pas exclu lorsque le certificat normal est contrôlé au moyen d’une application autre que celle proposée par la Confédération (COVID Certificate Check). Le certificat light est infalsifiable, mais ne peut être utilisé qu’en Suisse et doit être renouvelé dans l’application après 48 heures. Ce délai bref a été choisi pour qu’il ne soit pas possible de savoir si le certificat a été délivré suite à un test, une vaccination ou une guérison.

Développements de la procédure «SocialPass»

22.06.2021 - Après la résiliation du mandat par les représentants communs des exploitants de SocialPass, la procédure de surveillance en cours fait face à de possibles nouveaux retards. Le 18 juin 2021, les exploitants ont revoqué la demande de récusation déposée le 27 mai 2021, qui était dirigée contre le personnel du PFPDT chargé de la gestion de la procédure. Ce dernier a depuis entamé des échanges directs avec les exploitants. Ces discussions visent à remédier le plus rapidement possible aux déficiences identifiées et à rapidement clôre la procédure.  

Communiqué du PFPDT du 31.05.2021: SocialPass: limitation des possibilités de recherche requise

Le certificat COVID-19 répond à des exigences essentielles de la surveillance en matière de protection des données

04.06.2021 - Lors de sa conférence de presse d’aujourd’hui, le Conseil fédéral a informé de la création et de la mise en service du certificat COVID-19. La possibilité de fournir des certificats sur papier et la création d’un code bidimensionnel (code-barres) supplémentaire, nécessitant un minimum de données, pour son utilisation en Suisse, répondent à des exigences essentielles de la surveillance en matière de protection des données.

En vertu de la fonction de conseil que lui confère la loi, le PFPDT a accompagné l’Office fédéral de la santé publique (OFSP) et l’Office fédéral de l’informatique et de la télécommunication (OFIT), au cours des dernières semaines, dans le cadre du développement juridique et technique du certificat COVID-19. Les deux offices ont donné suite à la plupart des exigences formulées par le PFPDT en matière de protection des données.

• D’une part, nous nous félicitons du fait que le certificat ne sera pas uniquement fourni sous forme électronique mais également sur papier, ce qui n’obligera pas à avoir constamment son téléphone avec soi.
  
  
• D’autre part, nous avons obtenu que l’OFIT soit chargé de développer un code-barres nécessitant un minimum de données pour l’utilisation du certificat en Suisse, en plus du code-barres compatible avec celui de l’Union européenne pour les déplacements transfrontières. Ce deuxième code-barres empêche que la minimisation des données puisse être vidée de sa substance lors de la lecture du certificat. Celui qui utilise ce deuxième code empêche que quelqu’un puisse établir indûment, en utilisant un logiciel non autorisé, pour quelle raison le certificat apparaît valable ou non valable à la lecture. Les personnes chargées des contrôles à l’entrée d’une grande manifestation, par exemple, n’ont aucune raison de savoir si les personnes qui souhaitent entrer sont titulaires d’un certificat de vaccination, de guérison ou de test.
  

Les informations concernant la vaccination, la guérison et les tests, sont des données sur la santé, aussi le PFPDT estime-t-il préoccupant que pendant la période transitoire précédant la mise en service du certificat COVID-19, des « preuves suffisantes » puissent être acceptées pour les grandes manifestations pilotes. Il déplore également que le code-barres nécessitant un minimum de données ne puisse être mis à la disposition du public que dans un deuxième temps. Il veillera à ce que ces règles transitoires ne s’appliquent que pendant la période la plus courte possible.

Certificat de vaccination contre le COVID-19 conforme aux exigences de la protection des données : accompagnement du projet de l’OFSP

13.04.2021 - Dans le cadre du groupe de projet mis sur pied par l’OFSP en vue de l’introduction d’un certificat de vaccination contre le COVID-19, le PFPDT veille à ce que celui-ci soit conçu conformément aux exigences de la protection des données. Les exigences du PFPDT concordent, pour l’essentiel, avec l’avis conjoint du Comité européen de la protection des données et du Contrôleur européen de la protection des données concernant la proposition de règlement relatif au « certificat vert numérique » de l’UE.

L’OFSP a créé un groupe de projet chargé d’établir un certificat de vaccination contre le COVID-19 uniforme, infalsifiable et reconnu au niveau international. Le PFPDT y participe dans le cadre de son obligation légale de conseil et veille à ce que le mandat législatif prévu à l’art. 6a de la loi COVID-19 soit mis en œuvre dans le respect de la protection des données. Cette disposition définit les exigences applicables au certificat prouvant que son titulaire a été vacciné contre le COVID-19, qu’il en est guéri ou qu’il dispose d’un résultat de test du dépistage du COVID-19. Le certificat doit par conséquent être personnel, infalsifiable et, dans le respect de la protection des données, vérifiable. Il doit par ailleurs être conçu de manière que seule une vérification décentralisée ou locale de son authenticité et de sa validité soit possible et qu’il puisse, dans la mesure du possible, être utilisé par son détenteur pour entrer dans d’autres pays et en sortir.

En accompagnant le projet, le PFPDT veillera en particulier à ce que l’utilisation future du certificat – s’il devait être utilisé par des acteurs privés dans le cadre d’une collecte systématique de données vaccinales ou d’autres données personnelles en vue de donner accès à des biens ou services – soit conforme aux exigences légales de protection des données. Pour ce faire, le PFPDT estime que non seulement des conditions de droit public doivent être fixées dans le droit d’exécution, mais aussi que les acteurs privés sont tenus de garantir les principes de protection des données de la LPD : le traitement des données par des personnes privées doit notamment être proportionné, acceptable et transparent. En outre, le PFPDT a déjà exigé publiquement à plusieurs reprises que l’introduction prévue du certificat ne conduise pas à une obligation générale de porter un smartphone sur soi (voir à ce sujet notre communication du 22.01.2021). Il salue donc le fait que le certificat de vaccination sera disponible aussi bien sur papier que sous forme électronique.

Les demandes du PFPDT vont pour l’essentiel dans le sens de l’avis conjoint du Comité européen de la protection des données et du Contrôleur européen de la protection des données du 31 mars 2021 concernant le projet de règlement de la Commission européenne relatif au « certificat vert numérique ». Dans leur avis, les deux organes susmentionnés soulignent que le « certificat vert numérique » doit reposer sur une base juridique suffisante et notamment respecter les principes d’efficacité, de nécessité, de proportionnalité et de non-discrimination. Ils précisent par ailleurs que le « certificat vert numérique » doit également être disponible sur papier, ce que le PFPDT demande aussi.

Exigences de protection des données pour la collecte de données sur la santé par des acteurs privés dans le cadre de la lutte contre la pandémie

22.01.2021 - La lutte contre la pandémie implique de plus en plus l'utilisation d'applications à installer sur les smartphones, lesquels contiennent généralement des informations importantes sur la vie numérique de leurs propriétaires. On pense notamment à SwissCovid, lancée par la Confédération, et aux « Tracing App » d'entreprises privées destinées à faciliter le traçage des contacts dans les cantons.

Maintenant que les tests rapides et les vaccins sont disponibles pour lutter contre la pandémie actuelle, plusieurs acteurs privés ont annoncé qu'ils envisageaient, le moment venu, de rendre certains biens et services accessibles uniquement aux personnes qui présenteraient des résultats de tests négatifs ou une preuve qu'elles ont été vaccinées.

Si des acteurs privés se procurent des données sur la santé de particuliers dans le contexte de la pandémie, ils doivent respecter non seulement les dispositions de droit public sur les plans de protection contre la pandémie, mais aussi celles de la loi fédérale sur la protection des données (LPD), notamment les principes de proportionnalité et de finalité. Conditionner l'accès à des biens ou services privés à la présentation de données sur la santé peut porter atteinte à la personnalité des personnes concernées. Or, conformément aux articles 28 alinéa 2 CC et 13 LPD, les atteintes à la personnalité ne peuvent être justifiées que par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.

La question de savoir si la demande et l'éventuel traitement ultérieur de données relatives à des tests ou des vaccins constituent une violation de la personnalité et, le cas échéant, si elle est justifiée dépend du cas d'espèce, ce d'autant plus que ni le droit public ni le droit privé ne contiennent des règles exhaustives à ce sujet. Le PFPDT se félicite donc que les offices fédéraux compétents en la matière élaborent actuellement à l'intention du Conseil fédéral une étude sur différentes règlementations possibles et leurs conséquences.

Indépendamment de l'adoption ou non d'une règlementation, le PFPDT doit s'attendre à ce que des acteurs privés décident à tout moment d'exiger systématiquement des données personnelles, notamment en lien avec les tests et les vaccins. Il attire donc l'attention sur les exigences en matière de protection des données à respecter pour conditionner l'accès à des biens ou des services à la présentation de données personnelles :

• Adéquation du traitement : conformément au principe de la proportionnalité prévu dans la LPD, l'acquisition et le traitement des données personnelles doivent être en adéquation avec la finalité poursuivie. Pour évaluer si la collecte privée et l'éventuel traitement des résultats des tests et de la vaccination sont susceptibles de contribuer de manière significative à la protection contre la transmission et la maladie, il convient de tenir compte des avis des autorités sanitaires compétentes, notamment l'Office fédéral de la santé publique, sur pertinence des tests et sur les effets de la vaccination. Les avis et les publications de ces autorités spécialisées doivent servir de bases à l'évaluation  sous l’angle de la protection des données.
• Caractère acceptable du traitement : Il doit être renoncé à la collecte des données à caractère personnel susmentionnées si l'accès aux biens ou aux services en dépend, si la renonciation à ceux-ci n’est pas acceptable et si leur accès peut être garanti d'une autre manière.
  
• Ampleur du traitement et sécurité des données : une fois la question de l'accès clarifiée, les données personnelles ne doivent être ni gardées ni transmises, sauf si un traitement ultérieur de ces données est absolument nécessaire, objectivement justifié ou exigé expressément par les personnes concernées. Si un traitement ultérieur est nécessaire, il doit être limité dans son ampleur et sa durée au minimum nécessaire pour lutter contre la pandémie. En outre, la sécurité des données doit être assurée par des mesures techniques et organisationnelles appropriées.
• Méthode du traitement : certaines personnes ne veulent pas montrer un smartphone équipé d’une certaine application créée dans le but de lutter contre la pandémie de peur que des informations sur leur vie numérique ne soient transmises. D'autres personnes ne peuvent simplement pas le faire en raison de leur âge, de leur santé ou d'un handicap. Pour celles-ci, il convient de proposer d'autres solutions appropriées utilisables dans des conditions comparables.
• Transparence du traitement : les personnes concernées doivent être informées de manière complète et compréhensible de la finalité et des modalités de la collecte et de tout traitement ultérieur de leurs données personnelles.

Le PFPDT suit l'évolution de la situation et se réserve le droit de prendre des mesures de surveillance à l'encontre des acteurs privés s'il estime que ceux-ci ne respectent pas les exigences de la LPD. Il se réserve aussi le droit de réévaluer ou compléter les exigences susmentionnées si des développements ou découvertes scientifiques l'exigent.

Collecte des coordonnées : les exploitants doivent garantir la protection des données

29.10.2020 - La collecte des coordonnées destinée au traçage des contacts est prévue par la loi. L’ordonnance COVID-19 situation particulière précise quelles sont les données qui peuvent être collectées et dans quel but. Les exploitants et les organisateurs sont cependant libres de décider de la manière dont ces données sont collectées. L’utilisation d’applications est autorisée, à condition qu’elle respecte le cadre légal de la protection des données.

Face à l’augmentation rapide du nombre de cas, les mesures de lutte contre la pandémie sont actuellement renforcées, en particulier le traçage « classique » des contacts, qui vise à interrompre les chaînes de contamination.

La loi sur les épidémies constitue la base légale permettant le traçage des contacts. L’ordonnance COVID-19 situation particulière contient quant à elle les dispositions d’exécution concernant les mesures relatives aux installations, établissements et manifestations accessibles au public.

Sur la base de ces dispositions, les exploitants d'installations et d'établissements accessibles au public ainsi que les organisateurs d'événements sont tenus, sous certaines conditions, de collecter les données de contact des visiteurs. Les catégories de données à collecter sont définies ; les données ne peuvent être collectées qu’à des fins de traçage et doivent être supprimées après 14 jours. Les cantons peuvent prévoir ponctuellement des mesures supplémentaires et donc aussi une collecte des données plus étendue, pour autant que les exigences du droit de la protection des données soient respectées.

L’ordonnance laisse expressément ouverte la manière dont la collecte de données est mise en œuvre, mais l’exploitant ou l’organisateur demeure entièrement responsable de la confidentialité des données ainsi que de la sécurité des données.
Il est ainsi autorisé de collecter des données au moyen d’une application informatique. Il existe aujourd’hui un grand nombre de ces applications, notamment dans le secteur de la restauration ou dans le cadre de manifestations. Comme pour les autres méthodes de collecte, l’utilisation d’une telle application doit s’inscrire dans le cadre de la protection des données, les exploitants et les organisateurs restant responsables de la confidentialité et de la sécurité de ces données. Ils doivent notamment s’assurer que seules les données mentionnées dans l’ordonnance sont traitées (et, le cas échéant, dans les actes édictés par les cantons à titre complémentaire) et que ces données – comme il a été dit plus haut – sont supprimées au terme d’un délai de 14 jours.

La collecte d’autres données ou l’utilisation des données à des fins autres que le traçage des contacts, comme l’envoi de publicité en ligne, n’est autorisé qu’avec le consentement des personnes concernées. On s’assurera toutefois que ces personnes sont informées expressément de ce traitement ultérieur des données et qu’elles peuvent s’y opposer à tout moment sans que cela leur porte préjudice. Comme ces applications sont souvent installées spontanément sur place lors de la visite d’installations, d’établissements ou de manifestations, toute utilisation des données collectées à des fins autres que celles qui sont prévues par la loi devrait prendre la forme d’un régime d’opt-in, prévoyant un consentement explicite.

Par ailleurs, il découle des principes généraux du droit de la protection des données que pour les personnes qui ne portent pas un téléphone mobile sur elles, un autre moyen de collecter leurs coordonnées, comme notamment des listes en papier, doit être prévu. Cette position du PFPDT est valable sous réserve d’une décision ultérieure de la part des tribunaux compétents.

Le Préposé dans l'émission "on en parle" de la radio RTS du 14 octobre 2020: Sur papier ou numérique? La complexité du traçage dans les restaurants romands

Update Proximity Tracing App: La sécurité technique de l’appli SwissCovid est confirmée

12.06.2020 - Après appréciation du rapport «Risk Estimation Proximity Tracing» du NCSC publié ce jour, le PFPDT confirme son évaluation selon laquelle le système suisse de traçage de proximité exploité par l’Office fédéral de la santé publique et l’appli SwissCovid respectent les exigences en matière de protection des données. 

Rapport du Centre national pour la cybersécurité (NCSC) 

Le PFPDT est conscient du fait que la non-divulgation de l’API (application programming interface), c’est-à-dire l’interface de programmation de Google et d’Apple relative à l’appli SwissCovid, fait l’objet de critiques publiques. Cet état de fait ne constitue toutefois pas une nouveauté. L’analyse d’impact relative à la protection des données personnelles du 1^er mai 2020 ainsi que le rapport publié ce jour par le Centre national pour la cybersécurité (NCSC) du 28 mai 2020 signalaient déjà cette non-divulgation.

Les interfaces standardisées à l’échelle mondiale avec leurs systèmes d’exploitation sous-jacents constituent la base de l’appli SwissCovid. Le code source des systèmes d’exploitation et des interfaces n’est pas disponible, ou en partie seulement. Là encore, il s’agit d’un fait connu qui ne concerne pas uniquement l’appli SwissCovid.

Le PFPDT estime que comparée à l’utilisation quotidienne par la population des appareils intelligents de Google et d’Apple, l’utilisation de l’API des deux fabricants pour l’appli SwissCovid ne représente pas un risque significativement supérieur pour les données personnelles. Et quiconque part du principe pour l’appli SwissCovid que Google et Apple ne tiendraient pas compte des restrictions d’utilisation confirmées en ignorant leur responsabilité légale et en mettant en jeu leur réputation, doit avoir à l’esprit le fait suivant: l’utilisation de l’appli SwissCovid devrait aussi – même sans l’utilisation de l’API de traçage de proximité de ces fabricants – s’appuyer sur un système d’exploitation et sur une interface Bluetooth générale de Google et d’Apple.

Quiconque se méfie généralement et systématiquement de Google et d’Apple devrait logiquement renoncer à toute utilisation d’appareils intelligents et de systèmes d’exploitation de ces derniers, et pas seulement à l’utilisation de l’appli SwissCovid, quelle que soit sa conception. La possibilité d’un tel renoncement est garantie en tout temps.

Pour toute information complémentaire, nous vous renvoyons au texte intégral de notre appréciation :

Texte intégral (en allemand) (PDF, 134 kB, 12.06.2020)

Update Proximity Tracing App

13.05.2020 - L’application de traçage de proximité respecte les exigences en matière de protection des données – Prise de position conformément à l’art. 17a LPD sur l’essai pilote du système suisse de traçage de proximité (Swiss Proximity-Tracing-System, SPTS).

Le PFPDT estime que l’essai pilote du SPTS autorisé aujourd’hui par le Conseil fédéral respecte le droit de la protection des données. Les documents manquants devront être soumis au PFPDT avant la mise en exploitation.

Les mesures de surveillance et les recommandations qui s’imposeraient pendant l’essai pilote et après le passage à la mise en exploitation prévue sont réservées. 

Update Proximity Tracing App

30.04.2020 - Le traitement des données en arrièrre-plan de l'application «Proximity Tracing-Application (PTAPP)» est proportionné, du point de vue du PFPDT.

En Suisse, une application de traçage de proximité «Proximity Tracing-Application (PTAPP)» basée sur l'approche décentralisée "DP-3T" doit être introduite. Même si beaucoup moins d'informations sont stockées de manière centralisée qu'avec une approche centralisée, l'architecture du système nécessite un "back-end" avec un serveur.

La Task Force Corona du PFPDT a examiné la mise en œuvre technique dans le back-end de l’application PTAPP prévue. Dans son évaluation, le PFPDT arrive à la conclusion que les traitements de données qui y ont lieu sont proportionnés. Il examine actuellement le projet d'une Ordonnance du Conseil fédéral sur l’application PTAPP et les bases légales sur laquelle elle repose.

Le PFPDT est en train d’élaborer une évaluation globale pour l’application PTAPP en forme de rapport, qui rassemblera les évaluations partielles précédentes et la complétera par d'autres aspects.

Update «Covid proximity tracing App»

21.04.2020 - Le PFPDT examine l'architecture du système DP-3T et exige la preuve d'une base légale suffisante.

Le PFPDT et sa Task Force Corona ont participé aux travaux de mise en œuvre de l'administration fédérale concernant une "application de traçage de proximité Covid". La mise en œuvre est basée sur le modèle "DP-3T" développé par l'EPFL, qui suit une approche décentralisée et est indépendante des développements au sein du projet européen "PEPP-PT". La Task Force Corona du PFPDT examine actuellement les aspects de protection des données de l'architecture du système développé par les autorités. En principe, le PFPDT exige en particulier la preuve d'une base légale suffisante, conformément à l'art. 17 de la loi fédérale sur la protection des données.

Le développement du projet de « Covid proximity tracing App » de l’EPFL va dans le sens du respect de la protection des données

17.04.2020 - Depuis que la task force Corona du PFPDT a procédé à une première évaluation sommaire du projet d’application de traçage numérique « Proximity Tracing », l’EPFL et ses partenaires ont poursuivi le développement de ce dernier, rebaptisé DP-3T. Le PFPDT constate qu’il présente des améliorations du point de vue de la protection des données, du fait notamment de l’approche décentralisée retenue. Il s’assurera au moment du lancement prochain de l’application que celle-ci respecte au mieux la protection des données.

La première évaluation sommaire du 02.04.2020 de la task force Corona du PFPDT concernait une version aujourd’hui dépassée du projet, laquelle prévoyait que les personnes exposées étaient alertées par un serveur central. La task force a pu depuis prendre connaissance de la nouvelle version du projet, dénommée « Decentralized Privacy-Preserving Proximity Tracing » (DP-3T), qui repose désormais sur une approche décentralisée. Il est notamment positif sous l’angle de la protection des données que le serveur central, conformément au principe de minimisation des données, ne reçoive que des clefs anonymes d’utilisateurs infectés ne permettant pas de remonter jusqu’à l’identité des personnes concernées. L’utilisateur n’est informé que localement, grâce à l’application enregistrée dans son téléphone, qu’il se trouvait à proximité d’un utilisateur infecté (et anonyme). Le PFPDT admet que les solutions centralisées et décentralisées présentent les unes comme les autres tant des avantages que des inconvénients. Cependant, du point de vue de la protection de la vie privée et compte tenu de la mise en œuvre envisagée au niveau international, il préconise globalement dans le cadre du projet DP-3T une approche décentralisée, étant entendu que seule la mise en œuvre effective permettra en fin de compte de porter un jugement définitif sur sa conformité avec le droit de la protection des données.

Dans l'intervalle, il a été annoncé que l'Office fédéral de la statistique serait le centre de données (Data Trust Center). L’Office fédéral de l’informatique et de la télécommunication développera, abritera et entretiendra l’infrastructure nécessaire. Le PFPDT, plus précisément sa task force Corona, devrait être consulté avec d’autres services à chacune des nouvelles étapes du projet. Le PFPDT continuera de veiller à ce que les exigences de la protection des données soient prises en compte de façon optimale. 

Évaluation sommaire du projet de « Covid Proximity Tracing App » de l’EPFL  

02.04.2020 - L’École polytechnique fédérale de Lausanne (EPFL) a demandé le 21 mars 2020 au PFPDT de soumettre à une évaluation sommaire le projet d’une « Covid Proximity Tracing App » auquel elle participe.

La Task Force « Corona » du PFPDT se félicite dans son évaluation sommaire que plusieurs mesures prévues dans le cadre du projet témoignent du souci de prendre en compte plusieurs aspects majeurs de la protection des données, ainsi le caractère volontaire de la participation au projet, le choix de ne pas utiliser de données de géolocalisation et le recours à des identificateurs temporaires. L’évaluation définitive de cette initiative à ce jour strictement privée dépendra toutefois de la forme finale du projet et de sa mise en œuvre pratique, et n’est donc pas encore possible pour l’heure.

Coronavirus: plans de protection

19.05.2020 - Le Préposé surveille la mise en œuvre des plans de protection par les entreprises privées. Il tient à ce que la collecte et la transmission de données personnelles dans le cadre de ces plans ne se fassent qu’avec le consentement des personnes concernées

Dans le cadre de l’assouplissement des mesures prises pour endiguer la pandémie de coronavirus, le Conseil fédéral a lié la reprise d’activités et la réouverture d’entreprises à l’élaboration de plans de protection (ordonnance 2 COVID-19; RS 818.101.24), cf. les recommendations de l'OFSP pour les milieux professionnels et les écoles.

Les entreprises sont responsables de la mise en œuvre des plans de protection. Si elles traitent des données personnelles (de clients, de membres, d’employés, etc.) dans ce contexte, elles sont soumises à la surveillance du PFPDT. Celui-ci veille à ce que les entreprises respectent les principes de la loi fédérale sur la protection des données, tout particulièrement le principe de proportionnalité. Les entreprises de certaines branches et d’une certaine taille disposent de services juridiques et de conseillers à la protection des données qui contribuent à la mise en œuvre conforme à la loi des plans de protection.

Le PFPDT tient à ce que la collecte et la transmission de données personnelles dans le cadre des plans de protection ne se fassent qu’avec le consentement des personnes concernées, sans que celles-ci subissent des pressions indirectes. En aucun cas ces personnes ne doivent être incitées à communiquer des données personnelles pour pouvoir jouir de certaines prestations ou avantages.

Le PFPDT estime que la collecte et la transmission de données personnelles obtenues au moyen de pressions indirectes constituent une atteinte à la sphère privée et à l’autodétermination des personnes concernées en contradiction flagrante avec le principe de proportionnalité. Des prescriptions en matière de traitement des données, reposant sur des bases légales suffisamment précises du droit public de la Confédération ou des cantons, sont indispensables.

Mesures de sécurité pour les conférences audio et vidéo  

15.04.2020 - La crise du virus coronaire a chambardé nos habitudes et nos comportements du jour au lendemain, en l’occurrence en nous empêchant de rencontrer nos proches ou d’avoir des réunions avec nos collègues. Les particuliers et les entreprises ont été contraints de trouver rapidement des solutions pour communiquer par conférences audio et vidéo. Même si cela s’est parfois fait à la hâte, les réunions professionnelles, les conversations avec les enfants et les grands-parents et même les petites rencontres festives ont pu être transposées dans le monde virtuel. Il est néanmoins important de veiller à la sécurité des informations et à la protection des données dans le cadre de ces conférences.

Le PFPDT recommande dans le présent feuillet thématique de prendre des mesures pour utiliser de la manière la plus sûre possible les solutions adoptées dans l’immédiat dans le cadre du confinement dans un premier temps. Plus tard, ou déjà lors de cette utilisation, il est recommandé d’analyser, en se fondant sur le droit de la protection des données, les risques que présentent les services et produits disponibles, ce qui permettra éventuellement d’opter pour un produit plus approprié. Vous trouverez ci-dessous des instructions pour choisir et mettre en œuvre une solution respectueuse de la protection des données.

Le feuillet thématique énumère certaines règles à appliquer dans la sphère professionnelle comme privée.

Mise à jour - Protection des données dans le cadre de l’endiguement du coronavirus :

L’accès de l’OFSP aux données visualisées de Swisscom est conforme au droit de la protection des données  

03.04.2020 - Le PFPDT a prié Swisscom le 25 mars 2020 de prendre position sur l’accès qu’elle a donné à l’OFSP à ses données. Après examen des informations fournies par Swisscom, le PFPDT retient que Swisscom permet à l’OFSP d’avoir accès uniquement à des données anonymisées. Le PFPDT a demandé à Swisscom de fournir au public des informations plus détaillées sur la procédure de traitement des données. Swisscom a répondu à cette demande et a préparé des FAQ sur le traitement des données en question.

Swisscom utilise sa plate-forme Mobility Insights (MIP) pour traiter des statistiques de groupe anonymisées au moyen de données de mobilité agrégées en vue d’évaluer les comportements de mobilité sur le territoire suisse. Les évaluations visualisées de Swisscom rendues accessibles à l’Office fédéral de la santé (OFSP) avec un décalage d’au minimum 8 heures doivent permettre à l’OFSP de vérifier si des personnes se sont encore rassemblées en grand nombre en Suisse, dans le cadre de la lutte contre la pandémie. Ces visualisations montrent comment la présence de possesseurs de téléphones portables évolue dans le temps dans un espace de 100 mètres sur 100, pour autant que plus de 20 appareils associés à un abonnement Swisscom soient présents dans cet espace.

Le PFPDT a prié Swisscom le 25 mars 2020 de prendre position sur l’accès qu’elle a donné à l’OFSP à ses données, ce qu’elle a fait par lettre du 27 mars 2020 et avec une prise de position complémentaire du 2 avril 2020. Après examen des informations fournies par Swisscom et compte tenu de ce qu’il savait déjà suite à plusieurs échanges de Swisscom consacrés à des situations similaires, le PFPDT retient ce qui suit :

• Swisscom procède dès que c’est techniquement possible à la pseudonymisation des données de localisation (« hash »), puis à leur agrégation.
• Les mesures organisationnelles ne sont pas décrites. Toutefois, il n'y a actuellement aucune raison de supposer qu'il y a des défauts évidents, d'autant plus que la plate-forme MIP est un produit qui est exploité depuis plusieurs années.
• Swisscom met à la disposition de l'OFSP des informations visualisées par MIP, mais ni données en clair ni données pseudonymisées ayant servi à produire des visualisations au moyen de la plate-forme MIP.
• Les résultats (visualisation des données de localisation agrégées) auxquelles Swisscom donne accès à l’OFSP est anonyme.

Cela signifie que Swisscom permet à l’OFSP d’avoir accès uniquement à des données anonymisées. Le PFPDT estime que le traitement des données opéré par Swisscom et les transferts de données anonymes à l’OFSP ne contreviennent pas au droit de la protection des données.

Considérant les documents qui lui ont été communiqués, le PFPDT ne voit aucune raison de douter que Swisscom se conforme au traitement des données tel qu’il a été exposé dans les avis du 27 mars  et du 2 avril 2020. Il a certes reçu des indications accusant Swisscom, mais rien n’a permis de démontrer ces allégations. Il n’existe à ce jour aucun élément qui doive amener le PFPDT à ouvrir une procédure formelle d’établissement des faits selon l’art. 29 LPD.

Le PFPDT estime cependant que les informations accessibles au public sur la collaboration entre l’OFSP et Swisscom et sur les traitements de données qui y sont associés sont rares et difficiles à trouver. Aussi a-t-il invité Swisscom à publier des informations plus détaillées sur ces traitements de données. Swisscom a répondu à cette demande et a préparé des FAQ sur l'utilisation de la plate-forme Mobility Insights par l'Office fédéral de la santé publique (OFSP).

L'évaluation du PFPDT est publiée.

27.03.2020 - Hier, le PFPDT a été informé par l'Office fédéral de la santé publique (OFSP) de la collaboration en cours avec Swisscom pour lutter contre la pandémie (voir communiqué de l'OFSP du 26.03.2020).

Dans l'intervalle, le PFPDT a reçu de l'OFSP et de Swisscom des documents pertinents sur le sujet. Tous deux ont également assuré le PFPDT qu'à l'avenir, ils le tiendront informé en permanence des projets relatifs à la protection des données dans le cadre de la lutte contre la pandémie.

Le groupe de travail interne du PFPDT "Corona", créé le 24 mars 2020, analyse actuellement ces documents. Il y a quelques jours déjà, deux initiatives privées pour des projets numériques contre de nouvelles infections ont été soumises au PFPDT. Celles-ci font également l'objet d'une première analyse sommaire de la protection des données par notre groupe de travail.

Protection des données dans le cadre de l’endiguement du coronavirus  

17.03.2020 - Les autorités, en coopération avec les institutions de santé, font tout leur possible pour endiguer la propagation rapide du coronavirus. Dans la mesure où des personnes privées (en particulier des employeurs) traitent des données personnelles pour lutter contre la pandémie, les principes énoncés à l'article 4 de la loi fédérale sur la protection des données doivent être respectés.

1. Traitement des données par les établissements de soins

Après que le Conseil fédéral a déclaré la situation qui prévaut actuellement en Suisse de « situation extraordinaire » au sens de l'art. 7 de la loi sur les épidémies (art. 7 LEp), les autorités fédérales, cantonales et communales continuent à travailler en collaboration avec les institutions de santé publique pour lutter contre la pandémie actuelle de coronavirus.

L'Office fédéral de la santé publique (OFSP), les autorités cantonales compétentes et les institutions publiques et privées qui accomplissent des tâches en vertu de la LEp traitent des données personnelles sur la santé conformément aux dispositions de la section 2 de la LEp, dans la mesure où cela est nécessaire pour identifier les personnes malades, présumées malades , infectées, présumées infectées, en vue de prendre des mesures de protection de la santé publique. Ce faisant, ils veillent au respect des législations fédérale et cantonale en matière de protection des données. Les hôpitaux et autres établissements de soins publics ou privés, ainsi que les laboratoires et le personnel médical, sont également soumis à des obligations de déclaration spéciales en vertu de la LEp.

2. Traitement des données par des personnes privées

Dans la mesure où la société civile, en particulier les employeurs, traitent des données personnelles pour lutter contre la pandémie, le traitement doit être effectué dans le respect des principes énoncés à l'article 4 de la loi fédérale sur la protection des données :

• Les données relatives à la santé doivent être considérées comme sensibles et, ne peuvent en principe être obtenues par des personnes privées contre la volonté des intéressés.
• En outre, les traitements des données relatives à la santé par des personnes privées doivent être effectués de manière conforme aux principes de finalité et de proportionnalité. Cela signifie qu'ils doivent être nécessaires et appropriés en vue de prévenir de nouvelles infections et qu’ils ne doivent pas aller au-delà de ce qui est nécessaire pour atteindre cet objectif.
• Dans la mesure du possible, les données pertinentes sur les symptômes de la grippe, comme la fièvre, doivent être collectées et transmises par les personnes concernées elles-mêmes.
• La collecte et l’utilisation ultérieure de données relatives à la santé par des tiers privés doivent être communiqués aux personnes concernées afin que ces dernières comprennent le sens et la finalité ainsi que la portée du traitement quant à son contenu et sa durée.

3. Température du corps et suivi

Dans la mesure où des personnes privées collectent des données médicales telles que la température corporelle à l’entrée de bâtiments ou de lieux de travail dans le but de prévenir une contamination, le traitement de ces données doit être, en termes de contenu et de durée, limité au minimum nécessaire pour atteindre cette finalité. L'information et l'autodétermination des personnes concernées doivent être respectées lors de la collecte des données. Dans ce contexte, répondre à des questions détaillées sur l'état de santé à des personnes qui ne sont pas des professionnels de la santé s'avère inapproprié et disproportionné.

Il en va de même pour les données à caractère personnel traitées par des particuliers dans le cadre de mesures opérationnelles et organisationnelles visant à prévenir une contamination. Au plus tard lorsque la menace de pandémie a cessé d'exister, ces données doivent être intégralement supprimées.

Si l'utilisation de technologies numériques pour la collecte et l'analyse de données sur la mobilité et de données de proximité est envisagée, celle-ci doit s'avérer proportionnée à l'objectif de prévention de la contamination. Ce n’est le cas que le recours à ces méthodes est pertinent d’un point de vue épidémiologique et propre à avoir un effet justifiant une atteinte à la personnalité des personnes concernées afin de contenir la pandémie, en tenant compte du stade actuel de celle-ci.

Nouvelle LPD: 5 postes supplémentaires à partir de juillet 2022

13.07.2021 - En 2019, le Conseil fédéral a autorisé la création de 3 postes au PFPDT en vue de l’entrée en vigueur de la nouvelle loi sur la protection des données (LPD), prévue pour le 2e semestre 2022. Ces postes ont été pourvus dans l’intervalle. Le Conseil fédéral a maintenant autorisé la création de 5 postes de plus. Si le Parlement fédéral approuve cette augmentation de l’effectif lorsqu’il adoptera en décembre 2021 l’arrêté fédéral concernant le budget pour l’année 2022, le PFPDT pourra mettre ces 5 postes au concours à partir du 1er juillet 2022.

Avec la création de ces cinq postes supplémentaires, le PFPDT mettra tout en œuvre pour assumer ses tâches et ses compétences élargies, notamment la nouvelle obligation qui lui incombe de traiter toutes les plaintes individuelles qui ne sont pas « de peu d’importance ».

Vers une protection des données modernisée

25.09.2020 - Le Parlement fédéral a adopté aujourd’hui lors duvote final la révision totale de la loi sur la protection des données (LPD). Il a ainsi été en mesure d’éliminer les dernières divergences qui se dressaient sur la voie d’une protection de la sphère privée en phase avec son temps.

Le PFPDT se félicite de l’achèvement de la révision totale de la LPD, tâche que le Conseil fédéral avait confiée au Parlement par son message il y a trois ans. La protection de la sphère privée et l’autodétermination informationnelle de la population suisse sont ainsi renforcées et adaptées à la réalité numérique.

Le PFPDT s’exprimera de matière plus détaillée sur la révision adoptée de la loi après l’expiration du délai référendaire. 

La deuxième chambre conclut la consultation sur la loi fédérale à la protection des données (LPD)

18.12.2019 - Le PFPDT salue l’achèvement par le Conseil des Etats de la consultation concernant la révision totale de la Loi sur la protection des données (LPD) et la large reprise des améliorations proposées par sa commission face à la version du conseil national.

Le Conseil des Etats examinera la loi sur la protection des données à la session d’hiver

20.11.2019 - Le PFPDT se félicite du fait que, dans le peu de temps disponible jusqu'à la fin de la session, la Commission des institutions politiques du Conseil des Etats (CIP-E) a réussi à adopter un texte législatif à l'attention du plénum du Conseil des Etats qui est prêt à être consulté et qui améliore sensiblement la version du Conseil national.

Communiqué de la CIP-E

La révision totale de la LPD est transmise à la Commission du Conseil des Etats

25.09.2019 - Suite au traitement par le Conseil national de la révision totale de la loi sur la protection des données (LPD) en tant que première chambre, le PFPDT espère que la deuxième chambre puisse de son côté débattre de ce projet lors la session d'hiver et améliorer encore la protection de la population suisse en l’alignant aux standards européens.

LPD : le Conseil national se penchera le premier sur le projet de révision totale

30.08.2019 - Après avoir étudié le message du Conseil fédéral du 15 septembre 2017 concernant la révision totale de la loi fédérale sur la protection des données, la Commission des institutions politiques du Conseil national a décidé le 15 août 2019, la voix prépondérante du président ayant permis de trancher, de soumettre le projet au Conseil national, prioritaire en l’occurrence.

La proposition à l’intention du Conseil comprend de nombreuses dispositions qui, dans leur version modifiée par la majorité de la commission, assurent une protection des données moins élevée que dans les États européens voisins et, à certains égards, moins élevée que celle prévue dans la loi sur la protection des données de 1992.

Lors des délibérations publiques des 24 et 25 septembre 2019, le Conseil national pourra comparer les versions des majorités et des minorités de la commission, étudier leurs arguments et décider s’il veut améliorer le niveau de protection des données dont bénéficie la population suisse et l’aligner sur les normes européennes.

Le dépliant avec les propositions de la Commission des institutions politiques du Conseil national pour la révision de la loi fédérale sur la protection des données a été publié.

Nouvelle LPD Schengen en vigueur

01.03.2019 - Le Parlement ayant scindé la révision de la loi sur la protection des données, le premier volet, à savoir la loi sur la protection des données Schengen (LPDS), est entré en vigueur le 1er mars 2019. Cette adaptation de la législation suisse au droit européen, qui était nécessaire à l’intégration de l’acquis de Schengen, est conçue comme une loi de transition et comprend diverses nouvelles dispositions. Le préposé fédéral à la protection des données et à la transparence (PFPDT) obtient ainsi dans le cadre de la mise en œuvre de l’acquis de Schengen en matière pénale de nouvelles compétences d’enquête et de décision.

Informations complémentaires à la LPD Schengen

Échelonnement de la révision de la LPD: la protection des droits fondamentaux doit être préservée

12.01.2018 – La Commission des institutions politiques du Conseil national (CIP-N) est entrée en matière hier sur la révision totale de la loi sur la protection des données (LPD). Parallèlement, elle a décidé de scinder la révision en deux étapes. Le PFPDT exige que la procédure échelonnée permette, outre une adoption accélérée des aspects relatifs aux accords de Schengen, une mise en œuvre rapide du texte révisé dans son intégralité.

Le PFPDT a pris connaissance de la décision de la CIP-N concernant un échelonnement de la procédure. Selon lui, cette procédure induit des difficultés considérables du point de vue de la technique législative, ainsi qu’un risque de retards supplémentaires. Du fait que la Commission a dû interrompre ses travaux, il importe de veiller à ce que la protection des droits fondamentaux de la population, dont la sphère privée est exposée à des risques accrus en raison de la numérisation croissante, reste garantie.

Pour cela, la Suisse a besoin d’une législation sur la protection des données assurant la sauvegarde adéquate des droits fondamentaux, équivalente au niveau de protection des données garanti par le droit européen, et qui tienne compte des défis posés par la numérisation. En conséquence, le PFPDT préconise une révision totale et rapide de la LPD actuelle, en vigueur depuis 1993.

Le 15 septembre 2017, le Conseil fédéral a présenté un projet de révision totale de la loi, qui a été approuvé dans ses grandes lignes par le PFPDT (comme il l’annonçait le même jour), car il satisfait selon lui aux conditions précitées. Lors des débats d’entrée en matière de la CIP-N du 11 janvier 2018, le Préposé s’est exprimé, en vain, en faveur de l’examen immédiat et complet du projet de loi du Conseil fédéral; les points critiques qui subsistent pouvant être examinés dans le cadre de la discussion de détail.

Message concernant la révision de la loi sur la protection des données: appréciation du PFPDT

Buts

Le développement fulgurant des technologies d’information et de télécommunication et la numérisation de la société qu’il entraîne dans son sillage ont imposé une refonte des législations en matière de protection des données du Conseil de l’Europe et de l’Union européenne, refonte qui a à son tour nécessité la révision totale de la loi fédérale sur la protection des données, en vigueur depuis 1993. Le projet de loi présenté par le Conseil fédéral vise à renforcer la protection des données, au travers notamment d’une amélioration de la transparence des traitements et du contrôle que les personnes concernées peuvent exercer sur leurs données. Il vise en outre à assurer le maintien de l’équivalence du niveau de protection entre la Suisse et l’UE. L’adéquation de ce niveau de protection revêt une importance capitale notamment pour l’économie suisse, d’autant plus que le nouveau règlement général de l’UE sur la protection des données, qui entrera en vigueur le 25 mai 2018, aura des répercussions directes sur de nombreuses entreprises suisses.

Appréciation globale du PFPDT

Le PFPDT approuve les grandes lignes de la révision. Il émet toutefois quelques réserves, pour l’essentiel dues au fait que le projet du Conseil fédéral présente des différences terminologiques et matérielles par rapport au règlement général de l’UE sur la protection des données et à la convention STE 108 révisée du Conseil de l’Europe. Le PFPDT estime que nombre de ces différences ne sont pas judicieuses, notamment parce qu’elles compliquent inutilement la situation juridique des entreprises suisses et des services de l’administration qui seront directement soumis au règlement général de l’UE sur la protection des données.

Aspects positifs

Le PFPDT se félicite notamment de l’amélioration de la transparence en matière de traitement des données, le devoir d’information lors de la collecte étant étendu à tous les traitements dans le secteur privé, indépendamment de la sensibilité des données. Il salue également la mise en œuvre de l’analyse d’impact relative à la protection des données pour les projets, du secteur privé ou des autorités, qui présentent un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L’extension de l‘obligation d’informer les personnes concernées sur leurs droits d’accès est également un point positif. Il en va de même de l’encouragement de l‘autoréglementation, par le biais de codes de conduite qui visent à faciliter les activités des responsables du traitement et à contribuer au respect de la législation. Le PFPDT se félicite également de la mention explicite des principes de la protection des données dès la conception et par défaut (privacy by design et privacy by default). L’indépendance et le rôle du PFPDT sont en outre renforcés. Le projet de loi prévoit que celui-ci peut prendre, à l’instar de ses homologues européens, des décisions contraignantes à l’égard des responsables du traitement et des sous-traitants, au terme d’une enquête ouverte d’office ou sur dénonciation. Le PFPDT prend acte du fait que le Conseil fédéral prévoit de lui allouer des moyens supplémentaires pour l’exécution de la nouvelle loi.

Divergences subsistantes

Le PFPDT aurait souhaité l’instauration d’un droit à la portabilité des données, qui renforcerait le contrôle de l’utilisateur sur ses données personnelles ainsi que le renversement du fardeau de la preuve en procédure civile. Il aurait également apprécié que la nouvelle loi, à l’instar du règlement général de l’UE sur la protection des données, s’applique expressément aussi aux entreprises n’ayant pas de siège en Suisse mais qui procèdent à des traitements ayant des effets en Suisse, afin que les personnes concernées puissent exercer plus facilement leurs droits. A cet effet, ces entreprises devraient avoir un interlocuteur en Suisse.
Le nouveau droit suisse devrait soumettre la désignation des conseillers à la protection des données en entreprise aux même conditions que celles que prévoit le règlement général de l’UE sur la protection des données en ce qui concerne les entreprises directement soumises à celui-ci. Il en va de même pour les codes de conduite. Les associations professionnelles et les associations économiques suisses devraient les soumettre au PFPDT selon les mêmes règles que celles qu’elles doivent respecter en vertu du règlement général de l’UE. Il serait en outre nécessaire que les entreprises dotées d’un conseiller à la protection des données soient également soumises aux obligations en matière d’analyses d’impact. De même les traitements de données présentant un risque particulièrement élevé devraient faire l’objet d’une certification.
Les sanctions prévues (amende de 250 000 francs au plus) semblent peu dissuasives au regard de celles fixées par le règlement général de l’UE sur la protection des données (20 millions d’euros ou 4 % du chiffre d’affaires annuel). Le PFPDT craint en outre que ce soit le personnel subalterne des entreprises, plutôt que celles-ci en tant que telles, qui soit sanctionné. Il déplore également l’absence de sanctions de droit pénal administratif.
Enfin, le budget du PFPDT ne devrait pas être approuvé par le Conseil fédéral mais par le Parlement, à l’instar du régime appliqué aux autres autorités de surveillance indépendantes telles que le Contrôle fédéral des finances et le Service de renseignement de la Confédération.

PFPDT, 15 septembre 2017

Informations complémentaires et documentation (site du DFJP)